Итак есть задача проснифать трафик жертвы подключенной к глобальной сети по средствам вай фай роутера, защита WPA2 (но защита это не проблема, у жертвы Yota модем, и настроен WPS так что за пару часов взлом пароля готов). но MITM атаку провести не получается, так как похоже у клиента стоит какой то сторонний брандмауэр, и этот брандмауэр отслеживает изменение мак адресов в ARP таблицах (я на самом деле весьма слабо пока во всем этом разбираюсь, так что если я где то путаюсь в терминологии, то не ругайте сильно). в общем я проверял на собственной сети, с брендмауром от NOD 32 действительно ничего не проснифать, на машине-жертве ( на которой как раз и установлен нод32) на запрос в командной строке ARP -a, никаких дублированных мак адресов нет, а как только отключаю фильтрацию сетевого трафика, то прямо тут же подмена мак адреса происходит. на компе этом 7 стоит кстати.

это все собственно предыстория. И вот что я подумал, ок ну а что если я просто в режиме монитора послушаю сеть (раз уж жертва по вай фай в сети) и попытаюсь перехватить нужные пакеты?

стал ловить все пакеты передаваемые по этому каналу, но естественно они все зашифрованы.

собственно вопрос: если я знаю пароль от данной сети с защитой WPA2 есть ли шанс расшифровать пакеты? я примерно понимаю технологию работы защиты WPA2, 4 рукопожатия обмен ключами и все такое. стало быть невозможно расшифровать пакеты передаваемые по воздуху, так как они уже шифруются совершенно другим паролем, присвоенным при этих самых "рукопожатиях"? а если мне удастся перехватить эти самые рукопожатия то тогда есть шанс расшифровать пакеты?

и еще, почему при MITM атаке других сетей (например своей собственной, при отключенном NODовском брендмауре) я без проблем перехватываю пакеты (без всякой расшифровки)? ведь вроде они тоже должны бы идти с шифрованием? как же так получается?

вроде все, ничего не забыл.

если что не так извеняйте, я новенький.

Проще через ARP спуфинг это дело провернуть. Если надо еще и http снифать,то читай тут: /showthread.php?t=345266&page=1&pp=10

user100 said:
Проще через ARP спуфинг это дело провернуть. Если надо еще и http снифать,то читай тут: /showthread.php?t=345266&page=1&pp=10


Да я бы с удовольствием все так и сделал, как описано в статье, но есть проблема, что то не заводится, через меня пакеты не идут, и я предполагаю (это конечно только моя догадка) что дело именно в брендмауре жертвы. видимо он отслеживает изменения в ARP таблице, и не ведется на подмену мак адресов.

проще говоря мне никак не вклиниться между вай фай точкой и жертвой. пробовал и из под Linux и из под Винды. И дело тут не в моих настройках, на других сетях все спуфится нормально.

так вот собственно обойти брендмауэр мне пока точно ума не хватит, а вот просто промониторить тарфик я мог бы, но не знаю как быть с шифрованием! пакеты перехватываются но в зашифрованном виде.

ну и все, отходя от данного конкретного случая, почему при ARP спуфинге я вижу все пакеты в не зашифрованном виде? как это происходит? ведь стоит защита на сети WPA или WPA2, вроде ключи знает только точка доступа и машина клиента, так как же так получается что когда я вклиниваюсь между ними я спокойно вижу чем они там обмениваются??

Ну тогда wireshark тебе в помощь. Если WI-Fi сетка защищена WPA шифрованием, то для нормальной расшифровки трафика между АР и клиентом нужно поймать нормальный handshake.

И настроит wireshark , как написано здесь. (http://wiki.wireshark.org/Wi-Fi)

Ладно буду разбираться! спасибо за ссылку, постараюсь настроить wireshark. позже еще отпишу по результатам

Вчера вечером много думал над там как же так происходит что когда я вклиниваюсь между жертвой и точкой, передающиеся через меня пакеты идут в не зашифрованном виде. и кажется понял как это происходит. ведь когда я встаю в прослушку я посылаю ARP запросы: жертве я говорю что мак адрес точки изменился (на мой соответственно) и точке я говорю что мак адрес жертвы тоже изменился и тоже на мой. таким образом пакеты от жертвы адресованные настоящей точке доступа идут ко мне, но идут они в любом случае через ту же точку доступа, вроде как транзитом получается, и точка сама же их для меня расшифровывает, так как понимает что они адресованы на мой мак адрес, и нужно их для меня расшифровать, и после снова зашифровать, но уже моим ключом. после чего я отправляю эти же пакеты на реальный мак адрес точки, и она уже транслирует их дальше в глобальную сеть. и потом все в обратном порядке, точка хочет передать полученные пакеты из интернета клиенту, смотрит в какому ip соответствует какой мак адрес, видит что ip жертвы соответствует мой мак адрес и отправляет их мне, в зашифрованном виде (но шифрование моим ключом) я их снифаю, и отправляю их жертве, но опять таки через все ту же точку. она понимает что я передаю пакеты жертве, точка их дешефрует и зашифровывает ключом жертвы.

мне кажется что теория выглядит примерно так, но я вполне могу заблуждаться!

и еще забавно что ни роутер ни жертву абсолютно не смущает что разным ip адресам может соответствовать один и тот же мак адрес, а при ARP спуфинге именно так и происходит!

ну так вот возвращаясь к моей проблеме, думаю просто прослушать трафик в режиме монитора у меня может не получиться банально потому что я хорошо слышу точку доступа жертвы (для ARP спуфинга этого было бы вполне достаточно), а вот ноутбук жертвы вполне могу и не услышать, ибо далеко. и при таком раскладе в лучшем случае я услышу пакеты передаваемые от точки к жертве, а вот от жертвы к точке может не получиться. и хендшейки тоже тогда не поймать.

в общем еще попробую, и посомтрю что получится!

Забавно я тут сам с собой веду общение)

в общем пробовал вчера на своей собственной сети (настроил WEP шифрование) проснифать трафик в режиме монитора. (естественно подразумевается что вначале я получил ключ при помощи aircrack-ng) запустил wireshark, настроил расшифровку пакетов по полученному ключу, и все сработало на ура. НО это получилось сделать у меня только на WEP шифровании, а в инструкции к wiresharkу предусмотрено и расшифровка WPA-PSK, но я так и не смог разобраться как там настроить этот ключ, может кто сталкивался? или кто нибудь посоветовал бы где почитать можно?

ведь для успешной расшифровки WPA требуется перехватить handshakи.

и еще, я в начале почему то подумал что если wireshark будет на лету расшифровывать передаваемые пакеты, то другие программы снифферы тоже будут видеть уже расшифрованные данные, но это оказалось совсем не так, humster запущенные параллельно с wiresharkom естественно ничего увидеть не смог, так как мониторил пакеты с того же интерфейса mon0, и через него они шли в зашифрованном виде.

так вот может быть есть возможность прогнать уже расшифрованные wiresharkom пакеты через humster?

Вот тут расписано про Шарк и WPA. (http://wiki.wireshark.org/HowToDecrypt802.11)

Как поймать хэндшейк тут. (http://gpuhash.com/?menu=ru-articles-view-1)